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Fatentansprtiche 



& 



Identif Ikat ions verfahr en unter Verwendung elner 



zwei maschinell lesbare Informatlonen tragenden Kennkarte, 
auf der die eine Information permanent und die andere In- 
formation veranderbar gespeicbert 1st, dadurch gekennzeich- 
net, daas die veranderbare, im folgenden Identif ikations- 
information genannte Information bei der Erstellung der Karte 
durch Chiff rierung aus zumindest ausgewHhiten Teilen der auf 
der Karte vorhandenen permanenten Information und einer gehei- 
men SchlUsselinformation gebildet lind auf der Karte gespeichert 
wird, und dasa bei der PrUfung der Karte aus denaelben ausge- 
wtthlten Teilen der permanenten Information und der geheimen 
SchlUsselinformation eine PrUf information gebildet und auf 
Uebereinstimmung mit der auf der Karte gespeicherten Identi- 
f ikationsinformation geprUft wird. 

2. Verfabren nach Anspruch 1, dadurch gekennzeichnet, 
dasa zur Bildung der Identif ikationsinformation eine weitere, 
von Fall zu Fall verschiedene (variable) Zusatzinformation ver- 
wendet und unverschlusselt vorzugsweise nach demselben physikali- 
achen Prinzip wie die Identif ikationsinformation auf der 
Kennkarte gespeichert wird, und dasa bei der PrUfung der Kar- 
te die darauf gespeicherte Zusatzinformation zusammen mit 

wen ig8 tens den ausgewanlten Teilen der permanenten Information 
und der geheimen SchlUsselinformation zur Bildung der PrUf- 
inf ormation herangezogen wird. 

3. Verfahren nach' Anspruch 2, dadurch gekenn- 
zeichnet, daaa bei der Erstellung und der PrUfung der Kenn- 
karte aus der geheimen SchlUsselinformation und wenigstens 
der Zusatzinformation durch Chiffrierung eine Auswahl informa- 
tion gebildet wird, aufgrund welcher die fUr die Chiffrierung 
heranzuziehenden Telle der permanenten Information ausgewghlt 



werden. 
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4. Verfahren nach einem der vorangehenden Ansprllche, 

dadurch gekennzeichnet, daas zur Bildung der Identifikations- 
iaformatioa und der Prllf information zusHtzlich eine Geheimin- 
formation, insbesondere eine Gedachtaisinfortnatlon verwendet 
wird. 

5 # Verfahren nach einem der vorangehenden AnsprUche, 

dadurch gekennzelchnet, dasa bel Verwendung der Kennkarte ala 
Datentrager die Datenin£ ormation mittels der Identifikations- 
infonnation chiffriert und In chiffrierter Form und vorzuga- 
veiae nach demaelben phyalkaliachen Prinzip wie die Identi- 
fications information auf der Kennkarte gespeichert wird, und 
daas bei der Prufung der Kennkarte die Klardaten information 
durch Dechiffrierung mit der Identif ikationsinf onnation wieder- 
gewonnen wird. 

6. Verfahren nach einem der voranstehenden Anspruche, 
dadurch gekennzeichnet, dasa bei jeder PrUfung der Kennkarce 
eln Teil der pennanenten Information irreversibel geloscht 
und die aich aua dem LtSschzustand der pennanenten Information 
ergebende LCschlnf ormation ebenfalla zur Bildung der Identi- 
fikat ions information und der Pruf information herangezogen 
wird. 

7. Verfahren nach Anaprucb 2, dadurch gekennzelchnet, 
dasa als Zusatzlnf ormation eine bei jedem PrUfvorgang ttndern- 
de Laufnummer verwendet wird. 

8. Verfahren nach Anapruch 2, dadurch gekennzeichnet, 
daas als Zusatzlnf ormation Datum und/oder Uhrzelt verwen- 
det wird. 

9. Verfahren nach Anapruch 2, dadurch gekennzeichnet, 
dasa als Zusatzinformation eine Zufalla information verwen- 
det wird. 
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10* Verfahren nacb einem der vor an fit eh en den Ansprllche, 

dadurch gekennzeichnet, dass eln vorbestimmter Teil der 
permanent en Information ale z,B, die Identitat des Kennkarten- 
benutzers belnhaltende Kenninf ormation verwendet wird. 

11. Verfahren nach einem der vorans t ehenden Ansprllche, 
dadurch gekennzeichnet > dass durch die Identif ikations- oder 
Prtlf information bestimmte Teile der permanenten Information 
als Kenninf ormation verwendet werden, 

12. Verfahren nach einem der vorans t ehenden Ansprtlche, 
dadurch gekennzeichnet, dass die permanente Information auf 
der Kennkarte durch die rBumliche Anordnung einer Vielzahl 
von in die Karte eingebetteten, der mechanischen Abtastung 
nicht zugHnglicben optischen Reflexf lttcben dargestellt ist 
und alle Ubrigen Informationen auf einer Magnetspur gespei- 
chert sind. 

13. Verfahren nach den Ansprllchen 3 und 12, dadurch 
gekennzeichnet, dass Gruppen von Reflexflachen in Reflex- 
zonen zusammengefasst sind und dass mindestens eine dieser 
Reflexzonen durch die Auswahlinf ormation fllr die Chiffrierung 
ausgewahlt wird. 

14. Identifikationseinrichtung mit Kennkarten, die zwei 
maschinell lesbare Informationen tragen, wobei die eine In- 
formation permanent und die andere Information veranderbar 
gespeichert 1st, und mit einer Erstellungs- und Prtlfstation 
fllr die Kennkarte, welche Station erste Mittel zum Ablesen 
der permanenten Information, zweite Mittel zum Ablesen der 
verMnderbar gespeicherten Information und erste Schreibtnittel 
zum veranderbaren Speichern von Information auf den Kenn- 
karten sowie eine mit den beiden Ablesemitteln und den ersten 
Schreibmitteln zusammenwirkende Auswertestufe umfasst, dadurch 
gekennzeichnet, dass die Auswertestufe (52) einen Speicher (17) 
fllr eine geheime Schlttsselinformatiori, eine Entscheidungsstufe 
(18) und einen Chif friergenerator (16) enthait,welcher aus^der 
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lm Spetcher (17) ge9pelcherten geheimen Schltlsselinfonnation 
und der von den ersten Lesemltteln (67) Jewells von den Kar- 
ten abgelesenen permanenten Information eine erste Ausgangs- 
information generlert, dasa die Entscheldungsstufe bei der 
PrUfung elner Karte die erste Ausgangsinformation als 
PrUf information auf Uebereinstimmung mit der von den zwelten 
Lesemltteln (3) von der betreffenden Karte als Identifika- 
tionsformatlon abgelesen verHnderbaren Informationen prUft, 
trod dass die Schreibmittel (3) bei der Erstellung einer Karte 
die erste Ausgangsinformation als Identifikationsinf ormation 
auf der jeweiligen Karte speichem. 

15. Elnrichtung nach Ansptuch 14, dadurcb gekennzeich- 
net, dass die Auswertestufe (52) einen an den Cbiffrier- 
generator (16) angescblossenen Generator (26) zur Erzeu- 
gung elner slch von PrUfung zu PrUfung todernden Zusatz- 
information umfasst, dass zweite Schreibmittel zum Spei- 
chern dieser Zusatzlnf ormation auf den Kennkarten vorge- 
seben sind, dass dritte Lesemittel (3) vorgesehen sind, 
velche die Zusatzlnf ormation von den Kennkarten ablesen, 
und dass der Cblffriergenerator die erste Ausgangsinforma- 
tion aus der SchlUsselinf ormation, der von den ersten Le- 
semltteln abgelesenen permanenten Information und der von 
den dritten Lesemltteln abgelesenen Zusatzlnf ormation 
erzeugt. 

16. Elnrichtung nach Anspruch 15, dadurch gekennzeich- 
net, dass die zwelten und die ersten Schreibmittel sowie die 
zwelten und die dritten Lesemittel identiscb sind. 

17. Elnrichtung nach einem der AnsprUche 14-16, da- 
durch gekennzelchnet, dass an den Chlffriergenerator an- 
geschlossene Mlttel (25) zur Eingabe elner GedUcbtnis in- 
formation In den Chlffriergenerator vorgesehen slnd, und 
dass der Chlffriergenerator bei der Erzeugung der ersten 
Ausgangsinformation diese Gedllchtnis information mitbertlck- 
sichtlgt. 
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18. Einrichtung nach Anspruch 15, dadurch gekennzeich- 

net, dass Mitt el (67) zur Auswahl von Tellen der auf den 
Karten gespelcherten permanenten Information vorgeseben 
Bind, dass der Chiff riergenerator aus der von den dritten 
Lesemittein abgelesenen Zusatzinf ormation und der gehei- 
men SchlUsselinf ormation eine zweite Ausgangs information 
generiert, aufgrund welcber die Auswahlmittel die Teile 
der permanenten Information auswBhlen. 

19 # Einrichtung nach einem der AnsprUche 15-18, da- 

durch gekennzeichnet, dass die Erstellungs- und PrUfungs- 
s tat ion eine Ein- und Ausgabestuf e (32b) fUr Dateninf or- 
mation, einen von dieser und dem Chiff riergenerator (16) 
angesteuerten Chiff riermischer (27) , welcher die Daten- 
information mittels der ersten Ausgangs information chiffriert, 
dritte Schreibmittel zum Speichern der chiff rier ten Datenin- 
formation auf den Kennkarten, vierte Lesemittel zum Ablesen 
der auf den Kennkarten gespelcherten chiff rierten D at en in- 
formation , und einen von den vierten Lesemittein und dem 
Chiff riergenerator angesteuerten und an die Ein- und Ausga- 
bestuf e anges chlos senen Dechiff riermischer (28) enthMlt, 
velcher die von den vierten Lesemittein abgelesene cbiffrier- 
te Dateninf ormation mittels der ersten Ausgangsinf ormation 
dechiff riert und an die Ein- und Ausgabestuf e weitergibt. 

20. Einrichtung nach Anspruch 19, dadurch gekennzeich- 
net, dass die zweiten und die vierten Lesemittel sowie die 
ersten und die dritten Schreibmittel identisch sind. 

21. Einrichtung nach Anspruch 19 oder 20, dadurch 
gekennzeichnet, dass die Ein- und Ausgabestuf e ein Geld- 
auszahl ungsautomat mit einer KontofUhrungsvorricbtung 1st 
und Eingabemittel besitzt, mittels velcher die HBhe eines 
von einem durch die jeweilige Kennkarte def inierten .Gut- 
habenkonto abzuhebenden Betrags eingebbar 1st, dass die 
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KontofUhrungsvorrlchtung den nach elnet Abhebung revldier- 
ten Kontostand ale Datenlnfonnation dem Chiff riermlscher 
(27) zufUhrt und dass sie vor jeder Auszahlung den von den 
Kennkarten abgelesenen und vom Dechif friermischer (28) de- 
chlfftierten jeweiligen alten Kontostand mtt der H8he des 
eingegebenen abzuhebenden Betrags vergleicht und eine Aus- 
zahlung verhindert, wenn der Betrag gcBsser als der Konto- 
stand 1st. 

22. Elnrlchtung nach elnem der AnsprUche 14-21, da- 
durch gekennzelchnet, dass die Erstellungs- und PrUfstation 
eine Auswahlstuf e (32a) aufweist, die Telle der permanenten 
Information als Kenninformation auswahlt. 

23, Elnrlchtung nach elnem der AnsprUche 14-22, da- 
durch gekennzelchnet, dass die Erstellung- und ?rlifstation 
elnen LBschkopf (11) und Positionieroittel (32a) fur den 
Lttschkopf besltzt, die bei jeder I rttfung einer Kennkarte 
ausgewahlte Telle der permanent gespelcherten Kartenin- 
formation irreversibel lOschen. 
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GRETAG AKTIKNGESELLS CHAFT , 8105 Regensdorf/ZH (Schweiz) 



Case 7-10945/CTS 423/K/K 
Deutschland 

Anwal tsak te ?8 20. Januar 1978 



Identifikaticnsverfahren und -einrichtung 



Die Erfindung betrifft ein Identifikationsverfahren unter 
Verwendung einer zwei maschinell leabare Informational 
tragenden Kennkarte, auf der eine Information permanent 
und die andere Information verttnderbar gespeichert 1st. 

Identi&zierungskarten verden verwendet zur maachinellen 
Personfenidentifikation, 
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als Kreditkarten, als Personal ausweis oder rum Geld-Abheben bei Geldauszahlungs- 
Autoraaten und dergleichen. Heist wird dabei in einer Prestation wKhrend eines 
PrOfvorganges die Echtlieit der Identlflzierungskarte UberprOft. 

Yon einer guten Identifizierunqskarte wird eine hohe Falschunqssicherheit, das 
helsst Sicherheit qeqen das Kopieren durch Unberechtiqte verlanqt, uo zum Belsoiel 
den Raunzutritt durch Unberechtiqte oder das unbefuqte Geldabheben zu verhindern. 
In bekannten Systemen wird die FHlschunqssicherheit oft dadurch erzielt, dass 
Identifizierunqskarten schwierlg und nur arit kostsoieliqen Einrichtunqen herstell- 
bar sind, welche nur bei der Hassenfertigung der Karten wirtschaftlich sind und 
Kopien von einzelnen Karten viel zu teuer zu stehen konrnen. Heist ist bei diesen 
Systemen die in den Identifizlerungskarten gespelcherte Infonoation nicht Snderbar. 
Dies brlngt die zwei folgenden Nachteile mit sich. Erstens muss eine Beniitzer- 
Organisation des Identiflzierungssystems die Karten schon fertig codiert vom Her- 
steller beziehen und kann sie selbst nicht unicodieren. Dies beeintrachtigt die 
Geheimhaltung wesentlich. Zweitens sind variable Daten auf den Identifizierungs- 
karten wie der Kontosstand eines Geldbezugskontos oder der Zeit-Saldo bei Gleit- 
zeitsystemen auf der Ident1fiz1erungskarte nicht spelcherbar. 

Bel einem weiteren bekannten Systen 1st die Karteninfonnation in einer Hagnet- 
spur leicht beschreibbar, lesbar und loschbar enthalten. Eine Uracodierung durch 
die BenUtzer-Organisation 1st leicht rioglich, Jedoch ist die RHschungssicherheit 
der Karte fUr sich allein sehr gerlng. Sie wird dadurch erhBht, dass filr die Iden- 
tifikation zusStzlich zur Karteninfonnation wahrend des PrUfvorganges durch den 
Kartenbesitzer eine individuelle. geheime Kennzahl in die Tastatur der Prestation 
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auf Korrespondenz ait der Kartentrtformation GberprQft wird. 

Die Nachteile hler sind, dass einerseits das System nur fSlschungsslcher 1st* 
solange die geheimet Kennzahl nicht verraten 1st,und ferner, dass be1 jeder 
Identification dlese Kennzahl einzutasten 1st. 

Bel elnera velteren bekannten Verfahren zur Erzielung von guter FSlschungsslcher- 
helt von Identifizierungskarten, wie beispielsweise 1m CH-Patent 554 574 be- 
schrieben, wird auf einer konventionellen beschreib- und lb'schbaren Inforraations- 
spur der Identifizierungskarte, also zum Belspiel einer Hagnetspur, die lelcht 
varllerbare Hauptinfonnation gespelchert und in einera anderen Kartenteil wird 
die schwer fSlschbare, teste und individuelle Identifikations-Information 1n einer 
anderen, schwer kopierbaren Speichenmgsart gespeichert. Diese Identifikatlonsin- 
formation wird zusStzlicb In der Hagnetspur gespeichert und wShrend des Pruf- 
vorgangs auf Uebereinstinroung mit der schwer falschbaren Information UberprUft. 
Obwohl die zusStzliche Speicherung der tndividuellen Identifikationslnforraation in 
anderer Codierung als die der schwer falschbaren Information erfolgen Oder In die 
Hauptinfonnation eingeschachtelt seln kann. besteht doch eine feste und erkenn- 
bare Korrespondenz zwischen der in der Informationsspur und der in der schwer 
kopierbaren Speichenmgsart gespelcherten Information, und die FSlschungsslcher- 
helt 1st nur bedingt gewShrleistet. 

Die Erfindung hat zum Ziel, alle diese Hachteile zu veraeiden. Es werden Identi- 
fizierungskarten mit den beiden Speicherarten elnerselts Hagnetspur mit leicht 
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variterbarer Information und andererseits eine sctarer kopierbare, ffilschungs- 
sichere Speicherart fUr mehrheitliche feste Information verwendet. 

01e falschungssichere Information Oder ausgewSM te Telle davon beeinflussen die 
leicht variierbare Information mittels kryptotechnischer Hethoden, sodass eine 
Korrespondenz der beiden Informationen nicht erkennbar ist und die leicht variier- 
bare Information ebenso fSlschungssicher wird wie die schwer kopierbare Information. 

Ourch kryptotechniscche Auswahl von kleinen Teilen der filschungssicheren Information 
1st die RHschungssicherheit ebenso gross wie bei Verwendung der gesamten fKlschungs- 
ticheren Information. 

Das erfindungsgemasse Verfahren ist gekennzeichnet dadurch, dass 
die verSnderbare, im folgenden Identifikationsinformation genannte 
Information bei der Erstellung der Karte durch Chiffrierung aus 
araindest ausgevfflilten Teilen der auf der Karte vorhandenen per- 
■anenten Information und einer geheimen Senilis selinformat ion ge- 
bildet und auf der Karte gespeichert wird, und dass bei der 
Prtlfung der Karte aus denselben ausgewttblten Teilen der permanenten 
Information und der geheimen Schltlsselinformation eine PrUfinformation 
gebildet und auf Uebereinstimmung mit der auf der Karte gespelcherten 
Identifikationsinformation geprUft wird. 

In einer besonders wirksamen Variante des Verfahrens wird die Art der Chiffrierung 
bei jedera neuen PrUfvorgang geSndert. derart. dass kelne Kcrrespcafenz (fer beidm 
versch1edenart1g auf der Identifizierungskarte gespeicherten Informationen 
erkennbar ist. 
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fa folgenden trir die Erfindung anhand der in den Figuren gezeigten Ausftihrungs- 
beispiele nSher erlSutert. Es zeigen:. 



Fig.laundlbein Prinzipschetna einer Identifizierungskarte in 

perspektivischer Darstellung (la) und in Aufsicht (lb) » 

Fig. 2 eine prinzipielle Anordntmg zur Durchfllhrung des 



Fig. 3 einen YergrBsserten Teilausschnitt aus Figur 2 , 

Fig. 4 einen Schnitt genfiss der Schnittlinie IV * IV aus 
Figur 3 , 

Fig, 5 eine untere Halfte aus Figur 4 , 

Fig. 6 ein Detail aus Figur 4 nit einer Abtasteinrichtung , 

Fig. 7 utd8ein wei teres Ausfuhrungsbeispiel in Aufriss und Grundriss 



Fig. 9 ein detailiertes Ausfuhrungsbeispiel zur DurchfUhrung 



Auf einer Identifizierungskarte 1, im Ausfuhrungsbeispiel als CREDIT CARD darge- 

stelH, ist eine Magnetspur 2, nittels einem Hagnetkopf 3. abtastbar, schreib- und 

IBschbar aufgebracht. Ferner erhSlt die Karte ein Feld RF mit einer Anzahl Speichei 
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stellen RZ, welche fa'lschungssichere Information IU enthalten. Olese letztere 
Information 1st mi t elneo Abtastkopf 67 abtastbar. 

Ira Blockschema der Flgur 2 1st eine Identifizierungskarte zur Durchfiihnmg des 
erfindungsgeraSssen Yerfahrens schema ti si ert gezeichnet, wobei in diesem Aus- 
fUhrtmgsbei spiel die Speicherstellen RZ in Zeilen und Kolonnen eines X-Y- 
Koordinatensys terns angeordnet sind. Es sind v als Betspiel ,zehn Zeilen bis 
Y^ 0 und zwanzig Kolonnen Xj bis X 20 von Speicherstellen RZ vorhanden, also total 

6 

200 Speicherstellen. Jede Speicherstelle kann z.B. 10 bit Information enthalten. 

wobei dann die gesarate fSlschungssichere Information der Karte nach diesem Aus- 

flihrungsbei spiel 2 • 10 8 bit betragen wiirde. Die Speicherstellen RZ k8nnen ge- 

mKss der Figuren 3 bis 5 ausgefuhrt sein, Oer Abtastkopf 67 fUr die Abtastung 

der Speicherstellen RZ kann mit elner Steuer inform atica IS UberelneLdtung 50 

■ 

so gesteuert werden, dass die Information jeder einzelnen Speicherstelle ab- 
tastbar 1st. 

* * **** 

Der Abtastkopf kann z.B. In Y-Richtung, mittels Schrlttmotor angetrieben zur 
Zetlen-Auswahl beweglich sein, wShrend die Kolonnenauswahl durch ein Zeitfenster 
wahrend des Kartendurchlaufs durch die Prilfstation In X-Richtung erfolgt. Sowohl 
Zeilen- als auch Kolonnenauswahl wlrd durch die Steuer1nfonnat1on IS ge- 
steuert. 

a % 

In Figur 2 sind samtliche Informatioasflttsee mit Pfeilen markiert. 
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An etnen In efoer Wlfetatim 52 vngesebenen Chiffri pmr hner 16 eteheo als Ein- 
gangslnfonnationen mindestens die einem GeheioschlUsselspeicher 17 entnonroene 
teheimschlUssel information IEj sowie mindestens Telle der fSlschungssicheren 
Information IU als Eingangslnformation IE ? 2ur YerfUgung. 

Hit diesen Eingangsinfonnationen wird die Ausgangsinfonnation IA^ errechnet, 
welche direkt Oder Indirekt Uber eine Mischer- und Vergleicher-Schaltung 18 
als nagnetische Information IM nrittels des Magnetkopfes 3 auf der Kagnetspur 
2 gespeichert wird. Infolge der Chiffrierung ist es praktisch unmbglich, aus 
der nagnetisch gespeicherten Information IM. RUckschliisse auf die fSlschungs- 
sichere Information IU zu Ziehen. 

Solche RUckschliisse sind aber vollends unmoglich, wenn als zusStzliche Eingangs- 
lnformation IE eine variable Information IV , erzeugt in einem Generator 26, 
in den Chiffrierrechner 16 eingegeben wird. Die variable Information Sndert sich 
bei Jedem Priifvorgang, sodass die im Chiffrierrechner 16 errechnete Ausgangs- 
infonnation IA^ und damit auch die magnetisch gespeicherte Information IM nach 
jedem Priifvorgang wieder anders ist. Die variable Information IV wird In einer 
Schreibphase des Priifvorganges einerseits in den Chiffrierrechner als Information 
IEj eingegeben, wo sie die Ausgangsinfonnation IAj mi tbestlnmt, welche 
letztere auf der Magnetspur geschrieben wird. Andererselts wird die variable In- 
formation IV Uber eine Leltung 51 und eine weltere Leltung 8 direkt auf die 
Magnetspur geschrieben. Bein nSchsten Priifvorgang wird sie dann in der Lese- und 
PrUfphase rait dem Nagnetkopf 3 ausgelesen und als El ngangs information IE 3 des 
Chiffrierrechners 16 zur Bildung der Ausgangsinfonnation 1A^ verwendet. 
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D1ese VorgSnge werden wetter tmten. anhand voti Fig. 9 im einzelnen ^"^^ 

Die variable Information (IV) kann eine fortlaufende Laufnunroer sein, welche 
1m Generator 26 erzeugt wird und bel jedera PrUfvorgang einen neuen Wert an- 
n1ont« " "~ 

Die variable Information IV kann auch eine Datum-Uhrzeit-Information sein, 
welche dann einer elektronischen Uhr des Generators 26 entnoramen wird. 



Iraweiteren kann die variable Information IV eine Zufallszahl sein, welche dann 
1n einem Rausch- oder Zufallsgenerator Oder einera Pseudo-Zufallsgenerator des 
Generators 26 entnoomen wird. 

Oede elnzelne Identifizierungskarte kann von alien andern abwelchende fa'lschungs- 
sichere Infonnation enthalten. 1 

Danrlt wird ein sehr hoher Sicherheltsgrad erreicht. da in diesem Fall ein FHlscher 
fUr jede elnzelne Identifizierungskarte einer Organisation den sehr grossen 
Aufwand fur das Kopleren aufbringen nUsste. 

FUr gerlngere Slcherheitsanforderungen kann Jedoch die faischungssichere In- 
formation rait Ausnahme der Karten-Nimraer fUr alle Identifizierongskarten die 
glelche sein, wodurch die Kosten fUr die Kartenherstellung etwas reduziert sind. 
Die Sicherheit wird durch die pseudozufallige Auswahl bestitnmter Teile der 
faiachuagaatcheren Information mlttela Chiffrlerrechtier gewilhrleiatet . 
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Ein Teil der fSlschungssicheren Information III kann eine Kenn- 
information IOy , das heisst, beispielsweise eine codierte Karten-Nunmer sein» 
welche von Karte zu Karte verschieden ist, Diese Information kann in der PrUf- 
station 52 in einem Steuerteil 32 Uberprllft werden. 

Diese Kennlnformation konnte zum Beispiel aus der Information einer 

einzigen der 200 Speicherstellen RZ rait 10 6 bit bestehen, also beispielsweise 

die Speicherstelle im Kreuzpunkt X ? , Y g von Figur 2. 

Zur ErhBhung der Falschungssicherheit kfinnte zu dieser festen Kenn- 
information IDy eine mit dera Abtastkopf 67 aus dem Speicherfeld RF ausgewahlte 
Information els zusatzliche Kennlnformation verwendet werden, wobei 
die Steuerinformation IS flir diese Auswahl eine Ausgangsinfonnation IAg des 
Chiffrierrechners 16 sein wllrde, welche mit der festen .Kennlnformation 
IDy als Eingangsinfortnation IE 2 des Chiffrierrechners 16 "gewonnen wlirde, 

Ein FSlscher mUsste also nicht nur eine einzige Speicherstelle RZ, sondern die 
ganze Karte kopieren, da er nicht weiss> welche Speicherstelle durch den Chiffrier- 
rechner ausgewShlt wird. ' 

Auf der Identifizierungskarte 1 kann weit roehr fSlschungssichere Information, 
narolich zum Beispiel 2 • 10 8 bit, aufgebracht sein, als in nlltzlicher Frist ver- 
arbeitbar ist. Trotzdem kann die voile Sicherheit, welche die grosse, ganze In* 
forma tionsraenge bietet, ausgenlitzt werden; Es kann zum Beispiel mit der variablen 
Information IV als Eingangs information IE 3 des Chiffrierrechners 16", natUrlich 
zusammen mit der teheiraschlOssel information eine Ausgangsinfonnation IA 2 

809830/0861 




- AO - 

2802A30 - 

errechnet wercten. tmldie durch Steueruna des Abtastkaofes auf einer der 200 
SDelcherstellen RZ eine TelUnfortnatlon der fa'lschunossicheren Information IU 
auswahlt und als neue Einaanasinforoatlon lEg des Chiffrierrechners zur Be- 
rechnuna der Ausaanasinforroation IA| zur VerfUouna stellt. Olese Tell information 
kann zuo Beisoiel nur der Inhalt einer einzioen / auf dlese Art pseudozufallig 
ausgewahlten Speicherstelle RZ seln, d.h. biier etwa 0,5X der gesamten 
falschungssicheren Information. . 

Han hat nur die Information einer einzigen Speicherstelle RZ abzutasten und 
zu verarbeiten und trotzdem ist die Falsdumgssicherheit so gross, wie wenn alle 
200 Speichersteilen berlicksichtigt warden, da der FSlscher ja nicht weiss t welche 
Speicherstelle vora Clriffrierrechner "zufSllig" selektioniert wird. 

Figur 3 stellt einen vergrSsserten Teilausschnitt aus der ldentifikationskarte 1 

rait lediglich zwei teilweise skizzierten Reflexzonen RZ dar. Diese Reflexzonen RZ 

faestehen aus einer Reihe yon Grenzflachen R„,die Uber die Breite B der Zonen ver- 

laufen und s1nd gegeneinander durch Begrenzungskanten K abgetrennt. Zwischen den 

einzelnen Reflexzonen RZ sind sogenarmte Trennzonen TZ vorgesehen. Die Abtnessung 

einer GrenzflHche R n in Richtung des Pfeiles L kann beispielsweise 0,2 nn be- 

tragen* die Breite B quer dazu ca. 2 nm, sodass die Reflexzone rait 10 Grenzflachen 

2 

ein Quadrat von 2 x 2 urn bildet. 

Belm in Figur 4 dargestellten Schnitt durch die Identifizierungskarte 1st ge-. 
zelgt, dass die Karte in wesentlichen aus einer aus Kunststoff hergeatellteti 
oberen Kartenschlcht lb und aus einer in Shnllchem Material bergpsteUtei unteiEn 
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Kartenschicht la . besteht. Letztere ist dabei TrSger der GrenzflSchen R rait 
entsprechenden Begrenzungskanten K, die die Reflexzonen RZ bilden tmd durch 
Trennzonen II voneinander getrennt sind. Die untere Kartenschicht la tragt 
auf ihrer Unterseite eine Magnetspurschicht 2. Die beiden Kartenschichten 
sind fest raiteinander verbunden. Die obere Kartenschicht lb muss sorait ent- 
weder ein Negativ der unteren Kartenschicht la sein, Oder sie muss in plastischem 
Oder flussigera Zustand auf die untere Kartenschicht la aufgebracht werden t ohna 
allerdings die GrenzflSchen R zu verSndern. 

Die Verbindung kann beispielsweise durch thermisches Ultraschall-Schweissen bei 
den Trennzonen TZ 9 oder durch Verkleben der ganzen KartenfiMche erfolgen. Die 
Verbindung der beiden Kartenschichten muss in jedem Fall so beschaffen sein, dass 
eine nachtrSgliche Trennung ohne BeschSdigung der GrenzflSchen weder mechanisch 
noch roit Losungsraitteln realisiert werden kann* 

Figur 5 zeigt einen Schnitt geofiss Schnittlinie V * Y durch die untere Karten- 
schicht la (die obere Kartenschicht lb wurde in dieser Figur der Uebersicht- 
lichkeithalber nicht dargestellt), die,wie schon ervShnt, in Reflexzonen RZ und 
Trennzonen TZ untertellt 1st. Die Reflexzonen wiederum sind mit einer Anzahl 

GrenzflSchen Rj R^ bestUckt, welche bezliglich der Kartenebene verschiedene 

Hinkelstellungen, c^, c^, ag und a n- j aufweisen. Die Anordnung der GrenzflSchen 
R ist Ublicherweise von Reflexzone zu Reflexzone Yerschieden. Im skizzierten Aus- 
filhrungsbeispiel sind pro Reflexzone 10 GrenzflSchen mit je 4 mBglichen Hinkel- 
stellungen vorgesehen, was bedeutet» dass 4 10 = 10 6 voneinander verschiedene 
Reflexzonen ntfglich sind, KatUrlich kann die Anzahl der GrenzflSchen pro Re- 
flexzone soirie auch die Anzahl der verschiedenen GrenzflSchen von diesera Aus- 
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ftlhrungsbei spiel abweichcn. Die Reflexzonen RZ rait den GrundflSchen R kb'nnen nit je 
einen Pra'gestempel durch Einpressen in den Kunststoff in plastischera Zustand Oder 
In elnem Kunststoff-Spritzvorgang hergestellt sein. In Ausflihrungsbeispiel 1st 
die obere Seite der unteren Kartenschlcht metallisiert, zum Beispiel durch Auf- 
dampfung Oder galvanisch, sodass die GrenzflSchen R nit einer das Licht reflek- 
tierenden Hetallschicht lc versehen sind. In Raum der Trennzonen TZ 1st die He- 
tallschicht abgetragen, sodass in diesen Zonen eine Kunststoffschicht Id zur 
VerfUgung steht und damit eine gute Verbindung zwischen den beiden Karten sicher- 



In Flgur 6 1st ein Ausfiihrungsbei spiel einer optischen v der Identifizierungs- 
karte schematisch dargestellt. Die optische Abtasteinrichtung sowie auch der Schreib- 
und Lesekopf 3 fUr die Abtastung der Hagnetspur sind in der Prestation eingebaut, 
welche die Identifizierungskarte 1 zur PrUfung in Pfeilrichtung L durchlSuft. 
Eine Lichtquelle 5, zum Beispiel ein LASER-Generator,liefert einen feinen Licht- 
strahl 5a , welcher auf die Identifizierungskarte fSllt und von den GrenzflSchen 
R 1 bis R lQ reflektiert wird. Diese GrenzflSchen kbnnen beispielsweise vier ver- 
scbledene Hinkelstellungen a (Fig. 5) aufWeisen und der reflektierte Lichtstrahl 
6b. kann zura Elnfalls-Llchtstrahl vier verschiedene Hinkel bis S k aufweisen. 
FOr jede dieser vier Richtungsvrinkel 1st eine Photodiode P, bis ? 4 vorhanden. In 
der In Flgur 6 gezeichneten Kartenposition trlfft der Lichtstrahl 5a auf die re- 
flektlerende Grenzflache R 4 und wird als reflektierter Strahl 5b auf die Photo- 
diode P 2 geworfen, welche einen Photostron an die Verteilerschaltung 7 abgibt. 
Beln Ourchlauf der Reflexzone RZ von Figur 6 unter den Abtast-Lichtstrah! 5a % 
werden, entsprechend den Hinkelstellungen der GrenzflSchen bis R ?0 » durch die 
vier Photodioden P bis P A in Sequenz zehn Photos tron-Signale an die Verte1let»- 



stellt. 



Abtasteinrichtung 



1 
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schaltung 7 abgegeben. welche in dieser verstSrkt'werden und beispielsweise binSr 
codiert nit je einer vcrschiedenen 3-b1 t-Zalil pro Photodiode an den Ausgang 10 
der Schaltung 7 gelangen. 

Oer ZShlbeginn fUr die zehn Photos trora-Signale wird durch den Uebergang des 
Abtast-Lichtstrahls 5a von der Trennzone TZ, wo kein Photostrora fliesst, auf 
die erste GrenzflSche festgelegt. Die Kanten der Trennzonen sind diffus reflek- 
tierend. 

Die vier Photodioden Pj bis P 4 mit der Lichtquelle 5 bilden zusammen das 
Photo-Abtastsystern 6, welches auch quer zur Kartenlauf- 

richtung verstellbcr 1st, ura sSmtliche der fISchenhaft angeordneten Reflexzonen 
abtasten zu kbnnen, wie schon oben beschrleben wurde. Das Photo-Abtastsystem 6 
rait der Verteilerschaltung 7 bilden zusammen den Abtastkopf 67, welcher die 
Speicherstellen RZ der falschungssicheren Information III abtastet. 

Bel der Verwendung der Identifizierungskarte fUr die Geldausgabe mittels "Off- 
Line" arbeitenden Geldausgabeautomaten, wobei der aktuelle Kontostand chiffriert 
auf der Identifizierungskarte festgehaUen ist f besteht fUr den befugten Karten- 
Inhaber, welcher eine echte und indlviduelle Identifizierungskarte besltzt und 
auch mit seiner idiYiduellen Gedachtnis-Kennzahl arbeitet, trotz all den be- 
schrlebenen, falschungssicheren Methoden die Moalichkeit des Betruges* 

Der befugte Karteninhaber muss btozu nur die ragpietisdi gegpeiierte Information 
welche unter anderemauch den aktuellen Kontostand enthSlt, vor dem Geldabheben 
auf ein Tonband kopieren, dann Geld an elnem der Autoraaten abheben, wobei gleich- 
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zeitig der neue, reduzierte Kontostand chlffHert In die Magnetspur ge- 
schrieben wird. Diese Information kann er dam mit der Tonbandkople, w&faetach 
den hbheren Kontostand entspricht, Uberschreiben und an einera zweiten Autoraaten 
Geld abheben und so fort. — 

Hatlirllch konnte nan dies verhindern, wenn e1n Kontobetrag nur an einera ganz 
bestlnwten Autoraaten bezogen werden niUsste, wobei diese Automaten-Numnier als 
weitere Eingangsinformation des Chiffrierrechners wirken wllrde. Oder nan kSnnte 
zvdschen zwei Abhebungen mittels der elektronischen Uhr, welche die Datura-Zeit- 
Information als variable Information liefert, eine Zeitsperre einschalten, bis 
der Kontostand alien Off-line arbeitenden Geldausgabeautomaten mitgeteilt.ist. 

All dies ist aber urasta'ndlich und es wird daher vorgeschLagen, 
nach jeder eiuzelneti ■ - . ■ 

KartenprUfung mindestens eine der Reflexzonen Irreversibel zu lBschen, um 
eine fSlschungssichere Kontrolle Uber die Anzabl der KartenprUfungen zu erhalten. 

Otes kann, geoass den Figuren 7 und 8 dadurch geschehen. dass ira Kartenraaterial 
eine thermisch schwSrzbare Substanz, vrie sie vora Thennodruck her bekannt ist. 

enthalten 1st. Angesteuert durch einen Eingang 13 wird in einera LiJschkopf 11 
einer Heizspule 12 ein Stift 11a erwannt, welcher die darunter liegende Re- 
flexzone schwarzt und daiait auslBscht. 
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Durch die Steuerung des Eingangs 13 fcann der LBschkopf 11 auf jede gewtinschte 
Reflexzone gestellt werden. 

Die Ausloschung von einzelnen Reflexzoncn kann auch durch Ausstanzen erfolgen, 
wobei der Loschkopf 11 durch elnen Stan2kopf zu ersetzen 1st. 

Die Priifung der gelBschtcn Reflexzonen erfolgt ebenfalls mit dera Abtastkopf 67. 
.Bei 200 Reflexzonen kormten zum Beispiel 100 gelSscht werden, das heisst 100 
Kartenprllfungen vorgenomnen werden, bis die Identifizierungskarte zu ersetzen 
1st. 

GeraSss Figur 9 erfolgt das irreversible LBschen von Speicherstellen beziehungs- 
weise Reflexzonen RZ der fSlschungssicheren Information rait dera LBschkopf 11, be- 
ginnend in der untersten Zeile Vy wobei, gesteuert durch eine erste Station 32a 
des Steuerteiles 32 mit Information IL Uber den Eingang 13 bei jedera Priifvor- 
gang eine Speicherstelle RZ gelBscht wird, Der Ltischkopf 11 steht auf der 
Speicherstelle X g der Zeile Y,, 

Oer Abtastkopf 67 wird bei Jedem PrUfvorgang, gesteuert durch die erste Station 32a 
die Zeile mit den gelb'schten Speicherstellen abtasten und als weitere Eingangs- 
Information In den Chiffrlerrechner eingeben. Auf diese Weise wird die oben be- 
schriebene Betrugsmbglichkelt ausgeschlossen, da die alte Magnetspur nit der neuen 
zu IBschenden Information nicht Ubereinstimmt. 

Bein erfindungsgemassen Verfahren Hegt ein wesentlicher Teil der Sicherheit 
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gegen Falschungen darin, dass die Auswahl der fa'lschungssicheren Inforaation 
durch einen GeheimschlUssel nrit Chiffrierrechner bestirant 1st. 

Oiese Auswahl kann eincrseits durch die variable Invonnation IV und anderer- 
selts durch Auswechseln des GeheiraschlUssels leicht geSndert werden. 

• « 

Die Sicherheit gegen Fehlabtastungen der Identiflzierungskarten kann durch die 
bekannten Redundanzraethoden wie Hehrfach-Speicherung, fehlererkennende Oder 
fehlerkorriegierende Codes, usw. gewKhrleistet werden. Eine Fehlabtastung deroptisch 
abtastbaren falschungssicheren Information durch Verschmutzung einer Reflexzone 
RZ kann dadurch unwirksam geraacht werden, dass es zugelassen ist, die Karte 
nehraals abtasten zu lassen, wobei bei jeder neuen Abtastung durch Wirkung der 
variablen Inforaation eine neue Reflexzone RZ durch den Chiffrierrechner aus- 
gewHhlt wird. . 

Anhand von Figur 9 soli nun erlautert werden, wie die Identifikation sowie die 
fSlschungssichere Speicherung von variablen Daten, zum Beispiel GeldbetrSgen oder 
Zeit-Saldt vor sich gehen kann. Es wird hier nur ein Beispiel beschrieben, aber 
die Erfindung beschrSnkt sich keineswegs darauf. 

Das Beispiel bezieht sich auf sehr hone Fa'lschungssicherheit.und in vielen prakti- 
schen Fallen kb'nnen einzelne der beschriebenen Massnahraen weggelassen werden. 

FUr die Identifikation besteht ein Prilfvorgang aus einer Identifikationsphase und 
einer daran anschliessenden Eingabephase. Obwohl der Prilfvorgang Jewells roit der 
Identifikationsphase beginnt, wird zuerst die Eingabephase beschrieben. 
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Ein SelektLcnlerschallEr 30 1st durcb die erste Statim 32a mlttels Eifomatim IC 
In Stellung a gestellt. Auf den Chiffrierrechner 16 werden, ausser der inraer 
vorhandenen GeheimschlUssel information .IEj , eingegeben: . 

- die Eingangsinforoation (IE 3 ) aus dem Generator 26 fUr die variable 
Information IV 

- die gchelrae, individuelle Kennzahl Oder Gedachtniszahl aus einer Tastatur 25. 

-Die variable Information IV wird als nagnetlsche Information IH durch einen 
Schreibkopf 3a des Hagnetkopfes auf die Magnetspur geschrieben. Die Information 
10 aus der ersten Station 32a bewirkt als den Abtaskopf 67 steuemde Information 
IS , dass von diesem die Identlfikations-Information IDy als Teil der falschunos- 
sicheren Information IU (also zum Beispiel Reflexzone RZ nit Kreuzungspunkt 
X., V 2 1m Feld RF der falschungssicheren Informationen) abgelesen und einerseits 
1n die erste Station 32a und andererseits als Eingangs information IE 2 auf den 
Chiffrierrechner 16 gelangt, 1n welchem zusammen mit den Ubrigen Eingangs informa- 
tional ane Ausgangs-Inficrrmatioa IA 2 errechnet wird, welche in Stellung b des 
Sektionsschalters 30 als Steuerinformatlon den Abtastkopf 67 neu und pseudozu- 
fSllig posltioniert. Der Drehschalter 30 wird 1n Stellung c gebracht und die vora 
Abtastkopf 67 gelesene Teil information gelangt einerseits als weitere Identlfi- 
zierungsinformation IDy auf die erste Station 32a und andererseits als weitere 
Eingangsinformation IE g auf den Chiffrierrechner, in welchem die Ausgangslnfoncati 
U t errechnet und als magnetische Information IM auf die Magnetspur geschrieben 
wird. 

In der Identifikationsphase 1st die Schalterstellung des Selektionsschalters 30 

zu Beglnn ebenfalls auf a. Hittels der Tastatur 25 wird die indivlduelle Kenn- 
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zahl als Eingangsln formation IE 4 In den Chiffrierrechner 16 eingegeben. Yon 

* 

der Hagnetspur 2 wird mittels eines Lesekopfes 3b des Magnetkopfes die beta vor- 
hergehenden PrUfvorgang geschrlebene variable Information als magnetische In- 
formation 11^ ausgelesen und als Eingangs information 1E^ i n den Chiffrier- 
rechner gegeben. Die Ubrigen VorgSnge bis zur Erzeugung der Aus gangs information 

IAj • sind die gleichen wie in der Eingabephase. Alsdann wird in Stellung c des 
Selektionsschalters 30 die beim vorhergehenden PrUfvorgang raagnetisch gespeicherte 
Ausgangsinformation 1^ ausgelesen, auf elne Leitung 46 gegeben und in einem 
Yergleicher 29 m1t der wa'hrend der Identifikatlonsphase 1m Chiffrierrechner er- 
zeugten Ausgangsinformation IA^ verglichen. Das Resultat des Vergleichs heisst 
IdentitKt oder Hicht-IdentitSt und wird als Information I0 3 bei einem Punkt 22 
ausgegeben. 1st Identitat vorhanden und 1st auch die Identlfizierungs-Inforroation 

lOy in der ersten Station 32a als richtig erkannt vorden, so wird auch die Identl- 
fikation als richtig taxlert. In der ersten Station 32a sind die Identlfizierungs- 
Informatlonen IDy , welche aus einem festen Teil und einem pseudozufSllig ausge- 
wShlten Tell der fa'lschungssicheren Information IU b'estehen, fur alle Kartenbe- 
sltzer der Organisation gespeichert fUr den Yergleich. 

Die fa*lschungss1chere Spelcherung und VerSnderung varlabler Oaten, wle Geld- 
betrSge Oder dergleichen,auf der Identl fizierungskarte erfolgt normalerweise In 
Anschluss an die Identl fikatlonsvorga'nge des PrUfvorgangs, und welst ebenfalls 
zwei Phasen auf. HShrend einer Schreibphase, welche in Anschluss an die Eingabe- 
phase erfolgt, wird in Stellung d des Selektionierschalters 30 zum Beisplel der 
momentane Kontostand als digltale Oaten aus einer zweiten Station 32b des Steuer- 
tells 32 in Form eines Ein-Ausgabegerates als Information lb, an den Chiffcier- 
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nischer 27 bekanater Art abgegeben und in diesera rait den . nach den oben be- 
schriebenen Hethoden entstandenen Ausgangsinforroationen IA ] zura Chlffrat ge- 
wischt und liber eine Leitung 48 als roagnetische Information IH^ dero magneti- 
schen Schrelbkopf 3a zugefllhrt und als chiffrierter Kontostand auf die Magnet- 
spur geschrieben. 

Hahrend einer Lesephase des Prtlfvorgangs, welche ira Anschluss an die Identifi- 
kationsphase erfolgt, wtrd 1n Stellung d des Selektionierschalters 30 der beira 
. vorhergehenden PrUfvorgang geschriebene, chiffrierte Kontostand von der Magnet- 
spur abgelesen und als roagnetische Information IH^ liber eine Leitung 44 einem 
Dechiffriermischer 28 zugefiihrt und in diesem rait der nach der oben beschrie- 
benen Methode entstandenen Ausgangsinforraatlon IA^ dechiffriert und der 
zweiten Station 32b als Kontostand ira Klartext zugefllhrt. Dieser Kontostand kann 
auch durch Vorsetzen einer Anzahl Null en in der zweiten Station 32b auf 
AuthentizitSt uberprtift werden. 

Die AuthentizitSt des Kontostandes kann auch, wie beispielsweise in der 
DT-OS 23 50 418 beschrieben,dadurch gewShrleistet werden, dass der Kontostand 
einerseits als Eingangsinforaation des Chiffrierrechners 16 dient und anderer- 
seits auf der Magnetspur "klar" gespeichert wird. In diesem Fall wird eine im 

Chiffrierrechner mittels der Elngangsinformationen 

- Geheiraschltlssel information IE^ 

- falschungssichere Information IE^ • 

- variable Information 'IV 

- Kontostand lt> } 

erzeugte Ausgangsinforraation IA, als Kiyptonuniraer samt dera Kontostand IOj 
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fSlschungssicheren Inforniatlonen vorhanden sein, welche wSUrend des Karten- 
durchlaufs durch die PHIfstation siraultan mlt der Magnetspur abtastbar ist. 
Ferner konnte die mit Chiffrierrechner, toittels Geheimschlllssel- und vari abler 
Information selektionierte fa'lschungssichere Information als Chiffrierrechner- 
Eingangsinfonnation direkt die AUsgangsinformatlon IA mi tbes tinmen. 

* • 

Um Fehler bei der Kartenabtastung zu eliminieren, kiinnen die fSlschungssicheren 
Infonnationen in redundanten, fehlerkorrigierenden Codes bekannter Art gespeichert 
sein. Beispielsweise kbnnte jede Speicherstelle RZ Uber die Karte verteilt drei- 
mal vorhanden sein und von den drei Ablesungen die zwei identischen als die 
Hchtigen ausgewahlt werden- 

* 

Heiter konnte es bei Verwendung der variablen Information zula'ssig sein, bei 
einem zura Beispiel wegen Kartenverschmutzung nicht erfolgreichen Priifvorgang 
weitere PrtifvorgSnge durchzufUhren, wobei durch die pseudozufSllige Auswahl der 
fSlschungssicheren Information auf einwandfrei lesbare Speicherstellen umgeschaltet 
wtlrde. 

Die ganzen SteuervorgHnge sowie die Chiffrierung kBnnten mittels einem oder - 
mehreren Hikroprozessoren durchgeflihrt werden, wodurch zufolge der relativ lang- 
samen Abla'ufe all die Vorgange in Sequenz durchgeflihrt warden und der Steuerungs- 
aufwand auch fur die PrUfvorgange fOr hShere Sicherheit relativ klein ware. 
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auf der Kagnetspur 2 der Identiflzierungskarte wahrend der Schreibphase gespeichert. 
WShrend der spa'teren UeberprUfung der Authentlzita't des Kontostandes wahrend einer 
Lesephase werden die eben aufgefUhrten Inforraationen in den Chiffrlerrechner e1n- 
gegeben und die so entstehende Ausgangslnfonoatlon nit der gespeicherten Krypto- 

numner auf Uebereinsti training Uberprllft. 

■ 

Zuo Geldabheben an einem Geldausgabe-Autoraaten wird alsdann mittels der Tastatur 
25 cin Geldbetrag eingetastet, welcher Yom Automaten ausbeiahlt wird und welcher 
in der zweiten Station 32b vora momentanen Kontostand abgezogen wixd,und w±>ei ia 
der Schceitphase dernaie cMfMerte KqiasfcandauEder Msgpetspur festgehalfcen wird. 

Eine "alschung des chiffriert gespeicherten Kontostandes ist nicht mbglich, da 
die Chiffrierung abhangig ist vora GeheimschlUssel sowie auch von den/fSlschungs- 
sicheren Karteninformationen. - - 

Samtliche beschriebenen Vorga'nge erf ol gen digital und elektronlsch. 

Die Leitungspunkte 8, g, 10, 19, 20, 50 korrespondicren nit denjenigen des 
vereinfachten Blockschemas von Figur 2, Die erste Station 32a steuert rait der 
Steuerlnforaation -1ST alle nicht welter beschriebenen VorgSnge In der Prestation. 

Hie erwahnt, gelten die beschriebenen VorgSnge fur sehr hohe Sicherheitsansprllche 
und kbnnen flir viele Anwendungen wesentlich reduziert werden. So kUnnen fUr 
yrii^jE Sicherheits-Anforderungen die falschungsslcheren Inforraationen Uberhaupt 

weggelassen, beziehungsweise nur eine Kartennuramer vorhanden sein und die Karten- 
Inforraatlon In der Hagnetspur enthalten sein. Bel etwas hbheren Ansprilchen kSnnte 
zura Belspiel nur eine einzige Spur, zura Beispiel die Zeile Y, von Figur 2, von 
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